Recuerde
Las tareas de un SGSI se organizan en las cuatro fases típicas PDCA de un ciclo de mejora continua de Deming, a saber: planificar (Plan), hacer (Do), medir (Check), y corregir (Act).
En todos los casos, la información recogida debe permitir evaluar los siguientes resultados del BIA:
1 Cuáles son los procesos críticos, u ordenarlos por prioridad.
2 Cuál es el daño/impacto, en función del tiempo que se tarde en restablecerse el servicio.
3 Cuál es el coste de las diferentes estrategias de recuperación, que proporcionarán un tiempo y un punto objetivo de recuperación.
Actividades
1. Ordene de mayor a menor criticidad los siguientes procesos o funciones de una librería.
1 Venta de libros.
2 Pedidos de material.
3 Presentación de impuestos a Hacienda.
A continuación, pensar cómo podría calcularse el coste de no poder realizar alguna de ellas, durante: una hora, un día, una semana, y dos o más semanas, y qué alternativas se podrían emplear para reanudar cada función lo antes posible.
Para responder a las partes A y B (criticidad de las funciones, y daño de la interrupción) existirá un formulario a rellenar por los responsables del proceso. Aunque es un dato que se necesita para diseñar las estrategias de recuperación, se preguntará aquí por el daño de la información que no se pueda recuperar (B.1), ya que esta valoración debe darla el propietario de la información.
Para responder a la parte C, referente a cómo recuperar el servicio, además de la parte B.1 del formulario anterior, se empleará otro formulario nuevo, en esta ocasión a rellenar por el personal de seguridad de la información.
A continuación, se dan ejemplos muy sencillos de formularios posibles, para guiar el estudio de lo anterior.
| FORMULARIO DE EVALUACIÓN BIA — 1 (PARA EL CLIENTE) | |||||||||||||||
| A.1 Función principal (qué hay que recuperar) | |||||||||||||||
| Área de la empresa | |||||||||||||||
| Número de trabajadores | |||||||||||||||
| Función principal única | |||||||||||||||
| A.2 Impacto en la empresa | |||||||||||||||
| Valore cuánto interviene esta función en el objetivo último de la empresa | Cuantitativa (1..100) | Cualitativa (no sensible, sensible, vital, crítico) | |||||||||||||
| Describa cómo interviene esa función en el objetivo último de la empresa | …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… | ||||||||||||||
| B.1 Impacto en la función. (RPO) Valore la pérdida completa de información de los siguientes periodos de tiempo (ninguno, bajo, medio, grave, desastre) | |||||||||||||||
| 10 min | 30 min | 1 h | 4 h | 8 h | 1 día | 2 d. | 4 d. | 7 d. | 15 d. | TOTAL | |||||
| B.2 Impacto en la función. (RTO) Valore el daño en la interrupción de la función durante los siguientes periodos de tiempo | |||||||||||||||
| Tiempo de recuperación | Daño económico (euros) o cualitativo (ninguno, bajo, moderado, grave, desastroso) en las siguientes áreas e importancia de cada área: | ||||||||||||||
| Cumplir función principal | Financiero | Otras funciones vinculadas | Reputación, imagen, confianza | Satisfacción del personal | |||||||||||
| ....% | ....% | ....% | ....% | ....% | |||||||||||
| < 10 min | |||||||||||||||
| 30 min | |||||||||||||||
| 1 h | |||||||||||||||
| 4 h | |||||||||||||||
| 8 h | |||||||||||||||
| 1 día | |||||||||||||||
| 2 días | |||||||||||||||
| 4 días | |||||||||||||||
| 7 días | |||||||||||||||
| > 15 días | |||||||||||||||
Nota
RPO es el objetivo de punto de recuperación, y representa el último instante de tiempo previo al incidente al que los sistemas son capaces de regresar. Vendrá dado. por ejemplo, por la frecuencia con que se realicen copias de seguridad.
Nota
RTO es el objetivo de tiempo de recuperación, y representa el tiempo que se tarda en restablecer el servicio, al menos a los niveles mínimos acordados.
Desde que se produce un incidente, hasta que se restablece el servicio, pasa un tiempo sin servicio (RTO). El servicio se recupera, pero con la información que se tenía un tiempo (RPO) previo a la ocurrencia del incidente. El periodo de tiempo total que retrocede la empresa es RPO+RTO.
Para recoger las estrategias de recuperación, además de la información B.1, el personal de seguridad de la información puede emplear un formulario similar al siguiente:
| FORMULARIO DE EVALUACIÓN BIA — 2 (PARA SEGURIDAD DE LA INFORMACIÓN) | |||
| A. Recuperación (cuánto cuestan las opciones de restablecimiento) | |||
| Nombre de la solución | |||
| Tiempo objetivo de la recuperación | |||
| Descripción | …………………………………………………………………………… …………………………………………………………………………… …………………………………………………………………………… | ||
| Para
| |||
